"Criptografía de sistema: usar FIPS algoritmos compatibles con para cifrado, firma y operaciones hash" efectos de la configuración de seguridad en Windows XP y en versiones posteriores de Windows

Se aplica a: Windows Server 2008 EnterpriseWindows Server 2008 StandardWindows Server 2008 Enterprise without Hyper-V

Resumen


Los Estados Unidos Federal Information Processing Standard (FIPS) define la seguridad y los requisitos de interoperabilidad para los sistemas informáticos que son utilizados por el gobierno federal de Estados Unidos. El estándar FIPS 140 define los algoritmos criptográficos aprobados. El estándar FIPS 140 también establece requisitos para la generación de claves y administración de claves. El National Institute of Standards and Technology (NIST) utiliza el programa de validación de módulo criptográfico (CMVP) para determinar si una implementación de un algoritmo criptográfico concreta es compatible con el estándar FIPS 140. Una implementación de un algoritmo criptográfico se considera el FIPS 140 compatible sólo si se ha enviado a y ha pasado la validación del NIST. Un algoritmo que no se ha enviado no puede considerarse compatible con FIPS incluso si la aplicación genera datos idénticos como una implementación del mismo algoritmo validada.

Para obtener más información acerca de cómo cumplan la norma FIPS 140 bibliotecas y productos de Microsoft, visite el siguiente sitio Web de Microsoft:En algunos casos, una aplicación puede utilizar algoritmos no aprobados o procesos mientras la aplicación funciona en un modo compatible con FIPS. Por ejemplo, el uso de algoritmos no aprobados podrá admitirse en los siguientes escenarios:
  • Cuando algunos procesos internos permanezcan en el equipo
  • Cuando algunos datos externos están además una aplicación compatible con FIPS cifrado

Más información


En Windows XP y en versiones posteriores de Windows, si habilita a la configuración de seguridad siguientes en la directiva de seguridad Local o como parte de la directiva de grupo, informara a aplicaciones que sólo deben utilizar algoritmos criptográficos de FIPS 140 compatible con y en cumplimiento de FIPS aprobado los modos de funcionamiento:
Criptografía de sistema: usar FIPS algoritmos compatibles con para cifrado, firma y operaciones hash
Esta directiva sólo es consultiva a las aplicaciones. Por lo tanto, si habilita la directiva, eso no asegura que se cumplan todas las aplicaciones. Las siguientes áreas en el sistema operativo se verán afectadas por esta configuración:
  • Esta configuración hace que el paquete de seguridad Schannel y todas las aplicaciones que se basan en el paquete de seguridad Schannel para negociar sólo el protocolo de seguridad de la capa de transporte (TLS) 1.0. Si esta configuración está habilitada en un servidor que ejecuta IIS, pueden conectar sólo los exploradores Web compatibles con TLS 1.0. Si esta configuración está habilitada en un cliente, todos los clientes de Schannel, como Microsoft Internet Explorer, pueden conectar únicamente a servidores compatibles con el protocolo TLS 1.0. Para obtener una lista de conjuntos de cifrado compatibles cuando se habilita la opción ver los conjuntos de cifrados en Schannel tema.

    Para obtener más información, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

    811834 no puede visitar sitios SSL después de habilitar cifrado compatible con FIPS

  • Esta configuración también afecta a los servicios de Terminal Server en Windows Server 2003 y en versiones posteriores de Windows. El efecto depende de si se utiliza TLS para la autenticación de servidor.

    Si se utiliza TLS para la autenticación de servidor, esta configuración hace que sólo TLS 1.0 para utilizarse.



    De forma predeterminada, si no se utiliza TLS, y esta configuración no está habilitada en el cliente o en el servidor, el canal de protocolo de escritorio remoto (RDP) entre el servidor y el cliente se cifra mediante el algoritmo RC4 con una longitud de clave de 128 bits. Después de habilitar a esta configuración en un equipo basado en Windows Server 2003, lo siguiente es cierto:
    • El canal RDP se cifra mediante el algoritmo 3DES en el modo Cipher Block Chaining (CBC) con una longitud de clave de 168 bits.
    • El algoritmo SHA-1 se utiliza para crear resúmenes de mensaje.
    • Los clientes deben utilizar el programa de cliente RDP 5.2 o versiones posteriores para conectarse.
    Para obtener más información acerca de cómo configurar servicios de terminales Server, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

    814590 cómo habilitar y configurar Escritorio remoto para administración en Windows Server 2003

  • Los clientes de Windows XP que utilizan el programa de cliente RDP 5.2 y versiones posteriores de RDP pueden conectarse a equipos de Windows Server 2003, Windows Vista o Windows Server 2008, cuando se habilita esta opción. Sin embargo, las conexiones de escritorio remotas en equipos Windows XP error al habilitar esta opción en el cliente o el servidor.
  • Los clientes de Windows que tienen habilitada la opción de FIPS no pueden conectarse a servicios de terminales Server de Windows 2000.
  • Esta configuración afecta el algoritmo de cifrado que se utiliza por el sistema de archivos cifrados (EFS) para los archivos nuevos. Los archivos existentes no se ven afectados y continuarán tener acceso mediante los algoritmos con la que se cifró originalmente.


    Notas:
    • De forma predeterminada, EFS en el RTM de Windows XP utiliza el algoritmo DESX. Si habilita esta configuración, EFS utiliza el cifrado 3DES de 168 bits.
    • De forma predeterminada, en Windows XP Service Pack 1 (SP1), en futuros service Pack de Windows XP y en Windows Server 2003, EFS utiliza el algoritmo estándar de cifrado avanzado (AES, Advanced Encryption Standard) con una longitud de clave de 256 bits. Sin embargo, EFS utiliza la implementación de AES de modo de núcleo. Esta implementación no está validado por FIPS en estas plataformas. Si habilita el FIPS en estas plataformas, el sistema operativo utiliza el algoritmo 3DES con una longitud de clave de 168 bits.
    • En Windows Vista y en Windows Server 2008, EFS utiliza el algoritmo AES con claves de 256 bits. Si habilita a esta configuración, se utilizará el AES-256.
    • Directiva local de FIPS no afecta a la clave de cifrado de contraseña.
  • Sólo permiten utilizar las implementaciones de algoritmos que están certificadas por el NIST ser FIPS 140 compatible con aplicaciones de.NET Framework de Microsoft, como Microsoft ASP.NET. En concreto, las clases de algoritmo criptográfico sólo se pueden crear instancias son aquellos que implementan algoritmos compatibles con FIPS. Los nombres de estas clases terminan en "CryptoServiceProvider" o "Cng". Cualquier intento de crear una instancia de otras clases de algoritmo de cifrado, como las clases con nombres que terminan en "Managed", hacer que se produzca una excepción InvalidOperationException. Además, cualquier intento de crear una instancia de un algoritmo de cifrado que no es compatible con, como MD5, FIPS también produce una excepción InvalidOperationException.
  • Si la configuración de FIPS está habilitada, se produce un error en la comprobación de las aplicaciones ClickOnce a menos que el equipo cliente tiene instalado uno de los siguientes:
    • La 3.5 de.NET Framework o una versión posterior de la de.NET Framework
    • .NET Framework 2.0 Service Pack 1 o un service pack posterior
    Notas:
    • Con Visual Studio 2005, aplicaciones ClickOnce no pueden ser construidas sobre o publicadas desde un equipo necesario FIPS. Sin embargo, si el equipo tiene.NET Framework 2.0 SP2, que se incluye con el Service Pack 1 de.NET Framework 3.5, Visual Studio 2005 puede publicar aplicaciones de formularios Windows Forms y WPF.
    • Con Visual Studio 2008, aplicaciones ClickOnce no pueden ser construidas o publicadas a menos que se instale Visual Studio 2008 SP1 o una versión posterior de Visual Studio.
  • De forma predeterminada, en Windows Vista y Windows Server 2008, la característica cifrado de unidad BitLocker utiliza cifrado de 128 bits AES junto con un difusor adicional. Cuando esta configuración está habilitada, BitLocker usa el cifrado AES de 256 bits sin un difusor. Además, las contraseñas de recuperación no se crean o se copia en el servicio de directorio de Active Directory. Por lo tanto, no podrá recuperar de pines perdidos o de cambios en el sistema escribiendo en una contraseña de recuperación en el teclado. En lugar de utilizar una contraseña de recuperación, puede realizar una copia de una clave de recuperación en una unidad local o en un recurso compartido de red. Para utilizar la clave de recuperación, poner la clave en un dispositivo USB. A continuación, conecte el dispositivo al equipo.
  • En Windows Vista SP1 y versiones posteriores de Windows Vista y en Windows Server 2008, sólo los miembros del grupo Operadores de cifrado pueden modificar la configuración de cifrado en la directiva IPsec de Firewall de Windows.
Notas:
  • Después de habilitar o deshabilitar la criptografía de sistema: usar compatible con algoritmos FIPS para cifrado, firma y operaciones hash seguridad configuración, debe reiniciar la aplicación, como Internet Explorer, para que la nueva configuración surta efecto.
  • Esta configuración de seguridad afecta el valor del registro siguiente en Windows Server 2008 y Windows Vista:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    Este valor del registro refleja el valor actual de FIPS. Si esta configuración está habilitada, el valor es 1. Si esta opción está deshabilitada, el valor es 0.
  • Esta configuración de seguridad afecta el valor del registro siguiente en Windows Server 2003 y Windows XP:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    Este valor del registro refleja el valor actual de FIPS. Si esta configuración está habilitada, el valor es 1. Si esta opción está deshabilitada, el valor es 0.